[GTER] [caiu] DDos em massa partindo de IPS nacionais

Rafael Galdino sup.rafaelgaldino at gmail.com
Fri Jul 27 13:20:58 -03 2018 

meu xará Raphael. já tenho um caso parecido cliente com o 143.255.x.x ai
tem um cara no mesmo octeto, digo o primeiro e segundo, o cara é
diretoooooo telnet e ssh para a rede desse meu cliente, já consegui ate o
WhatsApp do dono, reportei, expliquei, mandei print. sabe a resposta?

vou verificar...
ai mando depois perguntando e ai conseguiu bloquear?

resposta: .... .... .......

enfim o povo acha que ter provedor é: ping abrir facebook e já era

Em sex, 27 de jul de 2018 às 13:10, Raphael Pontara <pontara at outlook.com>
escreveu:

> Thiago, só aproveitando o gancho.
>
> Eu gostaria de relatar que percebi um comportamento parecido quando ativo
> assinantes de link dedicado nos provedores que atendo.
>
> Curiosamente, clientes residenciais - que se conectam por PPPoE - não
> apresentam a mesma dinâmica.
>
> Trata-se do seguinte:
> Ao ativar o cliente corporativo com IP estático na interface de acesso,
> basta estabelecer rota default no cliente e o tráfego da porta “TOPA”
> (limitado ao controle de banda setado no cliente) no sentido de upload (do
> cliente para fora) por aproximadamente 10 segundos
>
> Imediatamente também ocorre brute-force, vindo de IPs com o primeiro e o
> segundo octetos IGUAIS aos do cliente ativado (obviamente, o terceiro e o
> quarto são diferente).
>
> Isso me chamou a atenção e resolvi coletar algumas informações.
>
> Para minha surpresa, a maioria dos ASes que realizam brute-force (com o 1º
> e 2º octetos iguais ao do AS atacado), são do Brasil e de fato estavam
> comprometidos.
>
> Não consegui - ainda - coletar o que sai do cliente recém ativado.
> Na próxima ativação eu pretendo coletar com o wireshark ou outra
> ferramenta.
>
> Raphael Pontara
> +55 27 99252-5555 (Claro)
> +55 27 99998-6904 (Vivo)
>
> Em 27 de jul de 2018, à(s) 09:50, THIAGO AYUB <thiago.ayub at upx.com>
> escreveu:
>
> > Olá Rafael,
> >
> >
> > Esse assunto é off-topic para a lista CAIU e mas é on-topic na GTER.
> >
> > Isso acontece o tempo todo. Já há alguns anos quando acompanho algum
> > prefixo que nunca foi anunciado na tabela global de roteamento assim que
> > ele o é pela primeira vez, em segundos (5 ou menos) já vejo brute force
> > chegar. É tão certeiro que suponho que exista sim gente monitorando os
> > anúncios na tabela global para focar brute force em sistemas autônomos
> > recém-inaugurados, mal configurados etc.
> >
> > A conduta correta é reportar todos os casos. Fazemos isso para os
> endereços
> > que constam no WHOIS dos IPs (e sinto falta de um explícito contato de
> > ABUSE nos registros brasileiros). Somente neste ano cerca de 26% dos AS
> > brasileiros já receberam algum abuse report nosso. Mas a esmagadora
> maioria
> > faz pouco caso, ignora, não responde, não toma providências. Seguem a
> > errônea filosofia do "Se meu cliente não tá reclamando, não tenho que
> tomar
> > providências.".
> >
> > Diante disso, passamos a reportar os casos para várias blacklists as
> quais
> > temos convênio para relatar incidentes, como por exemplo a
> > https://www.abuseipdb.com/user/15015 que é patrocinada pela
> DigitalOcean.
> > Temos obtido com essas inclusões em blacklists os melhores resultados, já
> > que os IPs citados param de conseguir acessar servidores de IRC, passam a
> > ter e-mails rejeitados, não entram mais em servidores de jogos e até
> alguns
> > tribunais de justiça brasileiros rejeitam o login de IPs nessas
> blacklists.
> > Aí sim os clientes do ISP/datacenter começam a reclamar e o responsável
> > pelo AS toma as devidas providências.
> >
> > Abraços,
> >
> >
> >
> > *Thiago Ayub *| Network Director
> >
> > +55 (11) 2626-3952 <(11)%202626-3952>
> > upx.com
> >
> >
> > 2018-07-26 3:04 GMT-03:00 Rafael VOlpe TI <rafaelvolpeti at gmail.com>:
> >
> >> Bom dia galera,
> >>
> >> mais alguém tem enfrentado ataques DDos (Geralmente em Webservers), em
> >> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc) para
> aplicações
> >> WEB?
> >>
> >> Rapaz, eu tenho recebido muito, mais muito ataque de bots partindo
> desses
> >> endereços.
> >> Geralmente atacam WEB/Banco/Ftp, tudo junto.
> >>
> >> Mais alguém tem enfrentado isso? As operadoras tem feito algo sobre
> isso?
> >>
> >> Abraços.
> >> _______________________________________________
> >> caiu mailing list
> >> caiu at eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 

*Rafael Galdino*


*      Analista de redes*

       Inoc: 265147*100

      Phone:

*+55 (83) 99600-0242*

More information about the gter mailing list